• Startseite
  • Artikel
  • Allgemein
  • Biometrische Sicherheit – der Schlüssel zur passwortlosen Authentifizierung oder eine Modeerscheinung?

Biometrische Sicherheit – der Schlüssel zur passwortlosen Authentifizierung oder eine Modeerscheinung?

Veröffentlicht: 2022-03-11

Die passwortlose Authentifizierung ist seit Jahren der heilige Gral der Sicherheit, aber der Fortschritt war quälend langsam. Dies bedeutet nicht, dass keine großen Fortschritte gemacht wurden, aber leider sind die meisten dieser Entwicklungen in Forschungslabors oder professionelle Nischen verbannt worden. Bis vor einigen Jahren war die Technologie zur Implementierung einer passwortlosen Authentifizierung im großen Stil einfach nicht verfügbar.

Biometrie und biometrische Sicherheit

Der Branchenmoloch ändert dies jedoch langsam aber sicher. Es gibt ein paar technische, rechtliche und sogar ethische Überlegungen zu berücksichtigen, aber wie dem auch sei, biometrische Sicherheit und passwortlose Authentifizierung werden bleiben.

Biometrie verändert bereits heute das Spiel und wird dies auch weiterhin tun.

Warum überhaupt passwortlos werden?

Da dies ein Engineering-Blog ist, sehe ich keine Notwendigkeit, einer Gruppe von sicherheitsbewussten Entwicklern die Vorteile schneller Anmeldungen zu erklären. Wir müssen das Problem nicht aus Verbrauchersicht betrachten – wir alle sind gezwungen, unzählige Online-Dienste und immer mehr Geräte zu nutzen. Das wird sich so schnell nicht ändern, und wenn überhaupt, wird die Anzahl der Dienste und Geräte, bei denen wir uns anmelden müssen, weiter zunehmen.

Natürlich gibt es viele Möglichkeiten, auf Passwörter zu verzichten, einschließlich der biometrischen Authentifizierung. Aus Nutzersicht funktioniert die Nutzung von Google-, Microsoft- und Facebook-Konten zur Anmeldung bei Drittanbieter-Diensten, da der Nutzer Passwort-Bloat vermeiden kann und nicht für jeden Dienst und jedes Gerät Konten erstellen muss.

OAuth und OpenID werden seit Jahren verwendet, um digitale Identitäten zu konsolidieren, und die Standards werden von einigen der größten Namen in der Technologiebranche eingesetzt.

Technisch gesehen ist dies nicht wirklich ein passwortloser Ansatz, aber der durchschnittliche Benutzer sieht den Unterschied möglicherweise nicht.

Die Vor- und Nachteile dieses Ansatzes sind:

Vorteile:

  • Bequemlichkeit
  • Einfach umzusetzen
  • Gute Sicherheit
  • Markenname Seelenfrieden

Nachteile:

  • Abhängigkeit von einem zentralen Dienst
  • Alle Eier in einen Korb – Durch die Kompromittierung eines Kontos kann ein Angreifer Zugriff auf andere erhalten
  • Potenzielle Sicherheitslücken, die sich Ihrer Kontrolle entziehen, können gegen Sie verwendet werden
  • Menschen zögern möglicherweise, solche Dienste aufgrund von Datenschutzbedenken zu nutzen

Vieles davon trifft auf alternative Lösungen zu, obwohl es nicht auf Sicherheitszertifikate zutrifft, die normalerweise Geschäftsbenutzern und nicht Verbrauchern vorbehalten sind. Die Vorteile überwiegen, daher können wir uns bereits mit unseren bestehenden Konten bei unzähligen Diensten von Drittanbietern anmelden.

Wie können Biometrie und biometrische Sicherheit helfen?

Die Verwendung biometrischer Authentifizierungssysteme löst viele Probleme; Sie müssen sich nicht auf zentralisierte Dienste verlassen, der Datenschutz ist unbedenklich und die Benutzererfahrung wird nicht beeinträchtigt – vorausgesetzt, es wird richtig gemacht. Werfen wir also einen Blick auf die Vor- und Nachteile.

Vorteile:

  • Das Scannen von Fingerabdrücken ist schnell, billig und relativ sicher
  • Die Spracherkennung ist einfach zu bedienen und schwer zu manipulieren
  • Iris-Scans sind sehr sicher und möglicherweise bequemer als das Scannen von Fingerabdrücken
  • Die Elektrokardiogramm-Technologie bietet „always on“-Authentifizierung
  • Alle biometrischen Sicherheitsmethoden gehen auf Datenschutzbedenken ein und bieten gleichzeitig gute Sicherheit

Nachteile:

  • Biometrie ist nicht für alle Anwendungen geeignet
  • Die Kosten für die Bereitstellung biometrischer Sicherheit sind oft unerschwinglich
  • Der Support ist auf bestimmte Plattformen beschränkt und auf den meisten nicht verfügbar
  • Einige Technologien sind noch unausgereift
  • Biometrische Daten sind keine Wunderwaffe – die Sicherheit kann immer noch beeinträchtigt werden

Biometrische Daten sind weder ein neues Konzept noch eine neue Technologie. Biometrische Sicherheit wird seit Jahrzehnten in vielen Branchen eingesetzt und ist noch länger ein fester Bestandteil von Drehbuchautoren in Hollywood. Ich bin mir sicher, dass viele Leser vor Jahren die Gelegenheit hatten, mit Gesichtserkennung und Fingerabdruckscannern auf ihren Notebooks herumzuspielen – ich weiß, dass ich das getan habe, und ich weiß auch, dass ich nicht beeindruckt war; Die meisten dieser frühen Lösungen waren billige Gimmicks.

Allerdings haben wir seitdem einen langen Weg zurückgelegt. Es steht mehr Rechenleistung zur Verfügung, zusammen mit weit überlegenen Bildsensoren, und alles wird durch immer ausgefeiltere Software unterstützt. Aus diesem Grund feiern einige dieser Technologien ein Comeback, was sie mit aller Macht tun.

Die Industrie gibt Daumen hoch für Fingerabdruckscanner

Apples Touch ID ist wahrscheinlich die bekannteste Fingerabdruck-Authentifizierungslösung auf dem Markt, aber keineswegs die einzige. Apple hat Touch ID in iOS 8 für Drittentwickler geöffnet und die Technologie in neue iPhones und iPads sowie in seinen Apple Pay-Dienst integriert.

Aus diesem Grund hat iOS einen klaren Vorsprung vor Android und anderen Plattformen; Jedes neue iPhone und iPad wird mit Touch ID ausgeliefert, bis Cupertino etwas Besseres findet.

Fingerabdruck biometrische Sicherheit

Dies bedeutet nicht, dass Android abgeschrieben werden sollte, da immer mehr Android-Telefone mit Fingerabdruckscannern ausgeliefert werden. Die ersten biometrischen Authentifizierungsgeräte verfügten über kleine Scanner, bei denen der Benutzer seinen Finger über den Scanner ziehen musste, aber Touch-Scan-Einheiten, ähnlich denen von Apple, werden immer häufiger. Es ist wichtig zu beachten, dass diese Funktion nicht teuren Flaggschiff-Produkten vorbehalten ist – sogar einige 200-Dollar-Telefone, die von chinesischen Anbietern vermarktet werden, verfügen über solche Scanner.

Es gibt jedoch noch eine Überlegung; Google hat auf keinem seiner Nexus-Geräte einen Fingerabdruckscanner integriert, obwohl gemunkelt wird, dass es ursprünglich beabsichtigt war, ihn auf dem Nexus 6-Smartphone zu integrieren. Tatsächlich lieferte das Android Open Source Project (AOSP) Beweise dafür, dass die Unterstützung für Fingerabdrücke vom Gerät entfernt wurde. Das sind keine guten Nachrichten für Android-Entwickler, da Google normalerweise neue Technologien auf Nexus-Geräten vorstellt und mit Dokumentation und APIs nachlegt, wie dies bei der NFC-Unterstützung beim Nexus S oder dem Barometersensor beim Galaxy Nexus der Fall war.

Dies hinderte die Anbieter jedoch nicht daran, ihren eigenen Code mit einigen Arten von Scannern zu verwenden. Dies ist jedoch eine schlechte Nachricht für Entwickler, denen die Hände gebunden sind, da es keinen Standard gibt, der die Fragmentierung beseitigt und die Interoperabilität gewährleistet. Samsung versuchte, das Problem zu lösen, indem es Entwicklern erlaubte, mit seiner Pass-API herumzuspielen, aber dies ist immer noch keine ideale Lösung. Motorola hat das vor vier Jahren mit seinen alten Atrix-Geräten versucht.

Eine Reihe von Hardwareherstellern und Entwicklern veröffentlichten auch SDKs, die es Entwicklern ermöglichen, Unterstützung für verschiedene Fingerabdruckscanner zu integrieren, aber das Fehlen einer standardisierten Umgebung, die die Fragmentierung reduzieren oder beseitigen würde, ist immer noch ein großes Problem.

Es kann eine Weile dauern, bis wir Fingerabdruckscanner auf den meisten Telefonen sehen, aber es werden viele Fortschritte erzielt. Wir sind innerhalb weniger Jahre von keinen Scannern auf Flaggschiff-Telefonen zu relativ zuverlässigen Scannern auf 200-Dollar-Telefonen übergegangen.

Fingerabdruckscanner

Aber wie nützlich sind sie? Sind das nur Spielereien wie Fingerabdruckscanner der ersten Generation auf alten Notebooks?

Die Technik funktioniert, daran gibt es keinen Zweifel, aber die Anwendungen sind vorerst begrenzt. Die Softwareentwicklung muss mit der Hardware Schritt halten, wir brauchen mehr Dienste, die solche Lösungen nutzen können, und wir brauchen mehr APIs und Standards und Richtlinien von Branchenführern (nämlich Google). An dieser Stelle sind Fingerabdruckscanner auf vielen Android-Geräten Spielereien, nicht mehr.

Insgesamt sind Fingerabdruckscanner praktisch, aber sie sind keine ideale Lösung. Obwohl jeder Fingerabdruck einzigartig ist, gibt es dennoch einige Sicherheitsbedenken. Viele Scanner lassen sich austricksen, wobei es immer schwieriger wird, dies mit einem einfachen Bild zu bewerkstelligen. Es gibt jedoch Alternativen, einschließlich 3D-Druck, und einige morbide Möglichkeiten, dies zu tun, wie ein Sicherheitsexperte vor ein paar Jahren darauf hingewiesen hat.

Natürlich können Sie Fingerabdruckleser nicht mit Handschuhen, einem verletzten Daumen oder in anderen Extremsituationen verwenden. Dies sind jedoch relativ geringfügige Nachteile.

Microsoft möchte Ihnen in die Augen schauen

Fassen wir also zusammen. Android und iOS können bereits Fingerabdruckscanner für die biometrische Sicherheit verwenden, und sie werden derzeit zu wenig genutzt. Aber was ist mit Desktop-Umgebungen? Wir können unsere Telefone entsperren und Zahlungen mit Biometrie authentifizieren, aber wir arbeiten immer noch auf Desktops, also wie wäre es, wenn wir sie wirklich passwortlos machen würden?

Microsoft hat kürzlich Windows Hello angekündigt, und falls Sie es verpasst haben, finden Sie im offiziellen Windows-Blog einen umfassenden Überblick über diese Initiative.

So erklärt Microsoft seine Vision für Windows Hello:

Anstatt ein gemeinsames oder teilbares Geheimnis wie ein Passwort zu verwenden, hilft Windows 10 dabei, sich in Ihrem Namen sicher bei Anwendungen, Websites und Netzwerken zu authentifizieren – ohne ein Passwort zu senden. Daher ist auf ihren Servern kein gemeinsames Passwort gespeichert, das ein Hacker möglicherweise kompromittieren könnte.

Windows 10 fordert Sie auf, zu bestätigen, dass Sie im Besitz Ihres Geräts sind, bevor es sich in Ihrem Namen mit einer PIN oder Windows Hello auf Geräten mit biometrischen Sensoren authentifiziert. Sobald Sie sich mit „Passport“ authentifiziert haben, können Sie sofort auf eine wachsende Anzahl von Websites und Diensten aus einer Reihe von Branchen zugreifen – beliebte Handelsseiten, E-Mail- und soziale Netzwerkdienste, Finanzinstitute, Unternehmensnetzwerke und mehr._

Windows Hello ist ein biometrisches Authentifizierungssystem, mit dem Benutzer sofort auf ihre Windows 10-Geräte zugreifen können, indem sie Fingerabdrücke scannen, Iris scannen oder Gesichtserkennung verwenden. Microsoft sagt, dass „viele“ neue Windows 10-Geräte Windows Hello unterstützen werden, aber ich persönlich finde eine Technik besonders interessant.

Iris-Scanning ist eine der von Microsoft unterstützten Methoden und hat einige Vorteile gegenüber den Alternativen. Es sollte zuverlässiger und möglicherweise bequemer sein als das Scannen von Fingerabdrücken. Falls Sie sich gefragt haben, dies wird nicht von unseren Webcams oder Telefonkameras gehandhabt – Microsoft möchte „eine Kombination aus spezieller Hardware und Software“ verwenden, um sicherzustellen, dass das System nicht geschlagen werden kann.

Iris-Scanning und Biometrie

Der Iris-Scanner wird auf Infrarot-Technologie (möglicherweise Nah-Infrarot) beruhen. Dies bedeutet, dass es in der Lage ist, bei allen Lichtverhältnissen zu arbeiten und Ihre Iris durch eine Brille zu sehen, sogar durch eine getönte Brille. Hardware-Designer müssen nicht viel Platz auf einem Gerät reservieren, um den Scanner zu integrieren; Es könnte direkt neben der Selfie-Kamera auf unseren Handys integriert werden oder als Ergänzung zu einer eigenständigen Webkamera, die heute auf vielen Bürogeräten verwendet wird. Damit ließe es sich problemlos an bestehenden Desktop-PCs nachrüsten.

Abgesehen von Infrarotscannern wird Microsoft auch traditionellere biometrische Sicherheitsmaßnahmen wie Gesichtserkennung verwenden, die auf der Intel RealSense-Kameratechnologie basieren. Dies sollte dazu beitragen, Windows Hello produktiver zu machen, insbesondere wenn Benutzer auf neue Notebooks und Hybride auf Basis von Intel-Plattformen upgraden.

Auf der mobilen Front bietet ein Iris-Scan mehrere Vorteile gegenüber der Fingerabdruck-Authentifizierung; Es kann mit Handschuhen arbeiten, Irisverletzungen sind viel seltener als Daumenverletzungen, und es sollte viel schwieriger sein, einen Irisscanner für Verbraucher zu schlagen als einen Fingerabdruckscanner.

Der Ansatz von Microsoft hat noch einen weiteren Aspekt: ​​Der Softwareriese wird die biometrischen Daten der Benutzer nicht speichern. Die biometrische Signatur wird lokal auf Geräten gesichert und mit niemandem außer dem Benutzer geteilt. Die Signatur wird nur zum Entsperren des Geräts und des Passports verwendet, sie wird also nicht zur Authentifizierung von Benutzern über das Netzwerk verwendet.

Die Jury über Microsofts Biometrie-Pläne steht noch aus und wir müssen auf Windows 10 warten, um es in Aktion zu sehen.

Was ist mit der Always-On-Authentifizierung?

Während all diese Technologien beim Ersetzen traditioneller Passwörter gute Arbeit leisten könnten, gibt es neue Konzepte, die Ingenieuren mehr Freiheit geben könnten. Was wäre, wenn wir ganz auf den Prozess verzichten könnten, keine Passwörter, keine Fingerabdrücke – nichts?

„Always-on-Authentifizierung“ ist die nächste Grenze, und es wurden bereits eine Reihe von Wegen vorgeschlagen, um dorthin zu gelangen. Allerdings muss eine wichtige Unterscheidung getroffen werden. Always-on-Authentifizierung bezieht sich normalerweise auf Machine-to-Machine-Authentifizierung, wie z. B. ein System mit „always-on“-SSL-Authentifizierung, SHH-Verbindungen, NFC-Anmeldeinformationen und verschiedenen Netzwerktechnologien. Diese werden normalerweise entwickelt, um Finanztransaktionen zu überwachen und zu authentifizieren und so das Risiko von Online-Betrug zu verringern.

Es gibt relativ wenige Lösungen für die Always-On-Benutzerauthentifizierung. Ein solches Beispiel ist das Nymi-Armband von Bionym. Es ist ein tragbares Gerät, das einem durchschnittlichen Fitnesstracker sehr ähnlich sieht, aber cleverer ist.

immer auf Authentifizierung

Nymi scannt das einzigartige Elektrokardiogramm (EKG) des Benutzers. Das bedeutet, dass Sie das Gerät nur an Ihrem Handgelenk tragen müssen, um eine Always-On-Authentifizierung bereitzustellen. Solange dein Herz schlägt, bist du eingeloggt.

Wenn Sie daran denken, den gleichen Trick auf der Apple Watch oder den Android Wear-Uhren auszuprobieren, halten Sie Ihre Pferde, wir sind noch nicht da. Der Nymi verfolgt nicht nur die Herzfrequenz des Benutzers wie eine Smartwatch, sondern analysiert tatsächlich die Form der EKG-Welle des Benutzers, was einen empfindlicheren Sensor erfordert. Smartwatches klingen nach der idealen Hardware-Plattform für diese Anwendung und über kurz oder lang werden sie das Gleiche können.

Stellen Sie sich vor, Ihr Telefon, Auto, Büro und Computer zu entsperren, indem Sie einfach da sind und einen Puls haben? Sich nahtlos in ein beliebiges Konto einloggen, dann das Mittagessen bezahlen, auf dem Heimweg ein paar Einkäufe erledigen und vielleicht Bargeld an einem Geldautomaten abheben, ohne mit Lebensmitteln und Kreditkarten jonglieren zu müssen. Wir sind noch nicht da, aber wir kommen langsam dorthin.

Was bedeutet das alles für Softwareentwickler und -anwender?

Derzeit können Softwareentwickler handelsübliche Middleware und Tokenisierung verwenden, um passwortlose Lösungen bereitzustellen. Ein solches Beispiel ist Passwordless, ein tokenbasiertes Open-Source-Framework für Node.js und Express. Falls Sie daran interessiert sind, wie es bereitgestellt wird, hat Mozilla einen umfassenden Blogbeitrag, der es erklärt.

Es wird eine Weile dauern, aber biometrische Bausteine ​​setzen sich langsam zusammen. Die aktuelle Ernte passwortloser Technologien wird erweitert und schließlich durch biometrische Authentifizierung ersetzt.

Viele biometrische Sicherheitsskeptiker, einschließlich vieler meiner Kollegen, glauben nicht, dass dies in absehbarer Zeit passieren wird, aber ich bin ein unverbesserlicher Optimist; Ich denke, bis Ende des Jahrzehnts wird passwortlose Sicherheit Standard sein, und deshalb: Wenn wir nur einen bestimmten Bereich betrachten, sei es Software oder Hardware, werden wir unzählige Probleme mit Biometrie finden, von denen ich viele bereits skizziert habe. Wenn wir jedoch ein paar Schritte zurücktreten und das Gesamtbild betrachten, wenn wir einen Blick auf neue Branchentrends und die zunehmende Betonung der Sicherheit von Personen und Unternehmen, öffentlich bekannt gewordene Sicherheitsverletzungen und Datenschutzbedenken werfen, werden wir sicherlich Dinge sehen Eine andere Perspektive.

Trotzdem ist der Elefant im Raum nicht der Datenschutz oder die B2B-Sicherheit, sondern das mobile Bezahlen.

Das Volumen mobiler Transaktionen in den USA wird sich in diesem Jahr voraussichtlich auf 10 Mrd. USD mehr als verdoppeln. Bis 2018 erwartet Bloomberg ein Volumen von 110 Mrd. USD. Auf Pro-Kopf-Basis wird der durchschnittliche amerikanische Verbraucher in diesem Jahr etwa 30 US-Dollar an Transaktionen machen, aber bis 2018 wird die Zahl auf 330 US-Dollar pro Kopf ansteigen, für jeden Mann, jede Frau und jedes Kind. Unter der Annahme der gleichen durchschnittlichen jährlichen Wachstumsrate in 2019 und 2020 könnten wir bis 2021 vierstellige Zahlen pro Kopf erreichen.

Mit so viel Geld im Spiel, was denkst du?